Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Calisto
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Calisto
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Calisto

Calisto is a macOS Trojan that opens a backdoor on the compromised machine. Calisto is believed to have first been developed in 2016. (Citation: Securelist Calisto July 2018) (Citation: Symantec Calisto July 2018)
ID: S0274
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 17 Oct 2018
Last Modified: 30 Mar 2020

Techniques Used
Domain ID Name Use
Enterprise T1560 .001 Archive Collected Data: Archive via Utility

Calisto uses the zip -r command to compress the data collected on the local system.(Citation: Securelist Calisto July 2018)(Citation: Symantec Calisto July 2018)
Enterprise T1136 .001 Create Account: Local Account

Calisto has the capability to add its own account to the victim's machine.(Citation: Symantec Calisto July 2018)
Enterprise T1543 .001 Create or Modify System Process: Launch Agent

Calisto adds a .plist file to the /Library/LaunchAgents folder to maintain persistence.(Citation: Securelist Calisto July 2018)
Enterprise T1555 .001 Credentials from Password Stores: Keychain

Calisto collects Keychain storage data and copies those passwords/tokens to a file.(Citation: Securelist Calisto July 2018)(Citation: Symantec Calisto July 2018)
Enterprise T1074 .001 Data Staged: Local Data Staging

Calisto uses a hidden directory named .calisto to store data from the victim’s machine before exfiltration.(Citation: Securelist Calisto July 2018)(Citation: Symantec Calisto July 2018)
Enterprise T1564 .001 Hide Artifacts: Hidden Files and Directories

Calisto uses a hidden directory named .calisto to store data from the victim’s machine before exfiltration.(Citation: Securelist Calisto July 2018)(Citation: Symantec Calisto July 2018)
Enterprise T1070 .004 Indicator Removal: File Deletion

Calisto has the capability to use rm -rf to remove folders and files from the victim's machine.(Citation: Securelist Calisto July 2018)
Enterprise T1056 .002 Input Capture: GUI Input Capture

Calisto presents an input prompt asking for the user's login and password.(Citation: Symantec Calisto July 2018)
Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

Calisto's installation file is an unsigned DMG image under the guise of Intego’s security solution for mac.(Citation: Securelist Calisto July 2018)
Enterprise T1569 .001 System Services: Launchctl

Calisto uses launchctl to enable screen sharing on the victim’s machine.(Citation: Securelist Calisto July 2018)

References

  1. Kuzin, M., Zelensky S. (2018, July 20). Calisto Trojan for macOS. Retrieved September 7, 2018.
  2. Pantig, J. (2018, July 30). OSX.Calisto. Retrieved September 7, 2018.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.